Achtung: Scans auf FRITZ!Boxen von IP-Adresse 185.232.52.55 (Port 443)

Aktuell scheint es verstärkt Zugriffsversuche aus dem Internet von der IP-Adresse 185.232.52.55 auf Router (FRITZ!Box) zu geben, wenn der Port 443 offen ist. Scheint ein Port-Scan über ganze IP-Adressbereich des Internet zu sein, der seit 2020 läuft. Hier einige Informationen zu diesem Thema.


Anzeige

Das Thema ist bisher an mir vorbei gegangen, aber Blog-Leser Ralf sowie Stammgast Dat Bundesferkel haben im Artikel FRITZ!OS 7.25 kommt (vorerst FRITZ!Box 7590) Hinweise auf ominöse Zugriffsversuche auf Fritz!Boxen gemeldet.

Meldung im Vodafone-Forum

Im Vodafone-Forum findet sich der Thread Ständige Attacken aus dem Netz auf meinen Router, der am 22. November 2020 von einem Benutzer eröffnet wurde. Dieser meldet ständige Attacken auf seine FRITZ!Box von der IP-Adresse 185.232.52.55:

Fritz!Box 6360cable

Hallo,

meine Fritzbox wird ständig aus dem Netz attackiert. Mehrere IP-Adressen konnte ich über Abuse-Meldungen stoppen. 185.232.52.55 gelingt mit nicht, weil die Meldung so beantwortet wird: 

<support-link.ac@yandex.com>: host mx.yandex.ru[213.180.193.89] said: 552 5.2.2
Mailbox size limit exceeded 1606052218-ASTFH7eXAq-avLCGbGx (in reply to end
of DATA command)

Hat jemand eine Idee? Ich füge die Ereignisliste der Fritzbox an. 

Danke im Voraus

Die dabei genannte IP-Adresse 185.232.52.55 könnte aber auch anders lauten. Geh man im Vodafone-Forum den Thread Ständige Attacken aus dem Netz auf meinen Router durch, bestätigen andere Nutzer diese Zugriffe auf FRITZ!Box Cable-Geräte. Nutzer berichten über Angriffsversuche im 10-Minuten-Takt.

Hinweise bei heise

Inzwischen haben die Kollegen bei heise.de den Beitrag Akute Angriffswelle auf Fritzbox-Nutzer, jetzt handeln! veröffentlicht – wobei diese „aktuelle Angriffswelle“ halt seit mindestens Sommer 2020 läuft. Laut heise ist es das Ziel des „Probing“, Benutzernamen (deutsch Mail-Adressen) für den Zugriff auf die FRITZ!Box auszuprobieren, um den Router ggf. übernehmen zu können. Ich gehe davon aus, dass ganze IP-Bereiche im Internet auf offene Ports gescannt werden. Trend Micro hat bereits 2020 einen steigende Anzahl an Zugriffsversuchen auf Heim-Router festgestellt, wie in diesem Artikel zu lesen ist.

Internetzugriff und Port 443 für Freigaben

Geht man im Internet mit bestimmten Begriffen auf die Suche, taucht das Thema seit Jahren in Internetforen auf (siehe diesen Eintrag aus 2019). Geh man im Vodafone-Forum den Thread Ständige Attacken aus dem Netz auf meinen Router durch, gibt ein Benutzer einen zielführenden Hinweis.

Bei mir das gleiche Problem. Habe bei Internet – Freigaben- Fritzbox-Dienste den HTTPS-Port 443 geändert und Ruhe is…

Und damit ist die Sachlage klar: Es sind nur Geräte betroffen, deren Option „Internetzugriff auf die FRITZ!Box (HTTPS)“ in der Konfigurationsoberfläche (Internet / Freigaben / FRITZ!Box-Dienste“) freigegeben ist und über den Port 443 abgewickelt wird.


Anzeige

FRITZ!Box: Internetzugriff aktiviert
FRITZ!Box: Internetzugriff aktiviert

Auf meiner FRITZ!Box ist das deaktiviert, so dass ich da keine Zugriffe gemeldet bekomme. Zudem sind keine Port-Freigaben unter Internet/Freigaben eingerichtet, weil ich das schlicht nicht brauche.

FRITZ!Box Portfreigaben
FRITZ!Box Portfreigaben

Wer keine HTTPS-Zugriffe per Internet für den Dienst MyFRITZ benötigt, sollte die obige Option „Internetzugriff auf die FRITZ!Box (HTTPS)“ deaktivieren. Zudem besteht die Möglichkeit, Port-Freigaben abweichend von den Standards zu vereinbaren, um Scans per Internet auf den Port 443 ins Leere laufen zu lassen.

AVM-Hinweise zum Thema

AVM hat den Support-Beitrag FRITZ!Box meldet „Anmeldung des Benutzers […] gescheitert“ zum Thema veröffentlicht und meint, die Meldungen stellen kein Sicherheitsproblem dar. Bei den gescheiterten Anmeldeversuchen handele es sich meist um automatisierte Zugriffsversuche mit weit verbreiteten Benutzernamen und Kennwörtern von unbekannten Gegenstellen im Internet. Im Supportbeitrag werden dann noch Sicherheitstipps zur Absicherung (aktuelles FRITZ!OS verwenden, eine zusätzliche Bestätigung aktivieren, Benutzernamen und individuelle Kennwörter in ausreichender Stärke) gegeben.

Für die Fraktion der Amazon Alexa-Fans: Es kann auch sein, dass Zugriffsversuche aus der Amazon-Cloud auf die FRITZ!Box erfolgen. PC-Welt hat vor einiger Zeit diesen Artikel zum Thema publiziert.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Geräte, Internet, Sicherheit abgelegt und mit FRITZ!Box, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

21 Antworten zu Achtung: Scans auf FRITZ!Boxen von IP-Adresse 185.232.52.55 (Port 443)

  1. nicht bei dieser FRage sagt:

    Wenn man einen „honey-pot“ aktiviert, sieht man, dass der eigenen Router mehrfach pro Minute „angefragt“ wird. Das erfolgt nicht nur auf Port 443, sondern über viele Ports. Wenn der Honeypot eine Schwachstelle simuliert (wie für IoT typisch), gibt es sonfort Angriffe mit duzenden von Standard-Passwörtern.

    Fertige Honeypot für einen Raspi gibt es bei isc.sans.edu

  2. 1ST1 sagt:

    formation related to ‚185.232.52.0 – 185.232.55.255‘
    % Abuse contact for ‚185.232.52.0 – 185.232.55.255′ is ’support-link.ac@yandex.com‘
    org-name: INTERNET IT COMPANY INC
    address: Global Gateway 8, Rue De La Perle, Providence
    address: SEYCHELLES

    Das ist so ein Provider auf den Seychellen wo man allen möglichen Kram für Angriffe mieten kann. Und Yandex sagt ja auch alles. Ich hab auf unserer Firewall den ganzen IP-Block gesperrt, weil das Syslog-vollschreiben einfach nur noch nervt.

  3. Herr IngoW sagt:

    In der FRITZ!Box gibt es eine Einstellung im Bereich: Filter -> Listen -> Globale Filtereinstellungen -> Stealth-Modus
    Dort steht als Erklärung:
    Die FRITZ!Box-Firewall verwirft im Stealth-Modus unangeforderte Anfragen aus dem Internet, anstatt mit ICMP-Kontrollnachrichten zu antworten. Von Programmen oft benötigte Anfragen werden weiterhin beantwortet. Aktivieren Sie diese Option dann, wenn Sie die Identifikation Ihrer FRITZ!Box gegenüber Portscans erschweren wollen.

    Die ist Standardmäßig nicht aktiviert.
    Wenn das Aktiviert ist müsste es doch besser oder weg sein?
    Ob die „Cable-Boxen“ die Einstellung haben weis ich nicht, aber ich denke, ja.
    Hier ist die 7590 am Start.

    • Günter Born sagt:

      Ich hatte bei der gestrigen Prüfung die Option gesehen und den Stealth Modus versuchsweise aktiviert.

      • Paul sagt:

        Es ist relativ nutzlos ICMP ab zu schalten.
        Das da ein Rechner hinter der IP ist merkt der Angreifer daran, dass der Provider ihm kein ICMP-„host not reachble“ schickt…

        Die Gegenseite arbeitet mit tausenden Prozessen/CPUs gleichzeitig.
        Denen ist es nahezu wurscht ob sie sofort ein ICMP bekommen oder in ein Timeout laufen. Nur man selbst hat diese Wartezeiten und die CPU-Last, denn viele dieser Scanner verschwinden meiner Erfahrung nach sofort, wenn sie ein ICMP-„deny“ bekommen. Bekommen sie es nicht, versuchen sie es weiter, tagelang.

        Das ist ungefähr so „wirksam“ wie sein unverschlüsseltes WLAN durch Abschalten der SSIDs schützen zu wollen…

        Hilfreich wäre z.B., wenn AVM ein Portknocking-Modul anbieten würde:
        Bevor man auf 443 Zugriff bekommt, muß man andere Ports ansprechen.

        Einfacher und damit besser wäre fail2ban. Erfordert aber das Loggen dieser Versuche.
        Was aber in diesem Fall keinen DOS erlauben würde.
        Bitte die IP nur für ein paar Minuten sperren.
        Die Scanner sind und bleiben dann meist weg, aber man hat keine ins gewaltige wachsende Sperrdatenbank oder sperrt sich selbst dauerhaft aus, weil man das Passwort verwechsrelt hat.

        Das Umhängen von HTTPS 443 kann sich auch als Schuß in den eigenen Fuß erweisen, wenn man hinter einer paranoid eingestellt Firewall sitzt, die nur Zugriffe auf „offizielle“ Ports zuläßt. (Ist aber auch ein Risiko für Port-Knocking. )
        Hat man sowieso einen Webserver laufen (der muß nicht der Fritz laufen, logo), kann man damit „Page-knocking“ machen: Man muß bestimmte (nicht existente) Webseiten aufrufen damit der Web server der Fritz-Box die IP mitteilt(die er ja durch das Pageknocking kennt), die diese dann freischaltet.)

        Was soll aber der Aufwand?

        Warum sollte man fehl(!)geschlagene Login-Versuche überhaupt loggen wollen? Das öffnet einem Angreifer nur die Möglichkeit eines Denail-of-Service in dem er das Logfile durch Millionen Anmeldeversuche flutet.

        Aber bitte doch nicht das ICMP abstellen.
        Der Provider kann das ICMP nicht abstellen und verrät einen so.

        • Sebastian sagt:

          Vollkommen korrekt, was Paul hier schreibt. Für Sicherheits-Experten (zu denen ich mich nicht zähle) ist das Unterdrücken von ICMP ein recht hilfloser Versuch technisch wenig versierter Anwender, ihr Sicherheitsniveau zu erhöhen.

          Für IPv6 ist ICMP sogar obligatorisch, weil die MTU discovery darauf aufbaut. Hier knipst man sich den Netz-Zugang dann selbst aus – ist natürlich auch eine Form von Sicherheit.

  4. Paul sagt:

    Warum man fehlgeschlagenen Logins nicht loggen sollte und schon garnicht mit dem User namen?

    Zu einen wg. DoS-Attacken zum anderen/vorallem kann es vorkommen,
    das durch Blödheit des Users oder scriptes er anstelle des Usernamens, das Passwort wiederholt. Das steht dann in aller Pracht als Klartext im Logfile…und wenn das Einloggen dann geklappt hat weiß jedemand der Zugriff auf das Logfile hat, welcher Account das war wenn auch ein erfolgreicher Login geloggt würde…
    Das Passwort ist wie aus dem Logfile zu löschen ist wie der Versuch, aus einem Spiegel-Ei ein Kücken machen zu wollen, also:
    Passwort ändern…

    In der Praxis kommt das durchaus vor, da manche Logins bei einem flaschen Passwort den User namen erneut anfordern ,andere (zunächst) nur das Passwort. Und manchmal stellt wer das auch um…

    Heute würde man den Zugang immer nit einem Cert sichern.

  5. Niko sagt:

    habe bei avm mal ein Feature Request eingeworfen. Mir fehlt schon seit Ewigkeiten eine Möglichkeit, IP-Adressen zu sperren.
    Eventuell könnte es helfen, wenn eine Handvoll anderer FB-Nutzer das auch tun würden, dann hüpft die Prio vielleicht etwas höher…

    • Günter Born sagt:

      Ich meine, das Feature gestern gesehen zu haben (black & whitslisting) – muss mal nachschauen.

      • paellvurn sagt:

        black- & whitelisting ist für URLs, für IP gibts die Option „Liste erlaubter IP-Adressen“ (Internet/Filter/Listen).

        • Paul sagt:

          Emm, das ist m.W. „Outgoing“,
          also um zu verhindern, das der 12-jährige Sohn sich auf gewissen Seiten „weiterbildet“.
          Nicht um zu verhindern das eine der 4 Milliarden IP4
          versucht einen Port aufzumachen.

  6. Peter xyz sagt:

    Es gibt in der Fritzbox 7360 eine Blacklist und damit vermutlich auch in vielen anderen Fritzboxen.
    Das bezieht sich aber auf den Zugriff vom Netzwerk nach aussen.

  7. Otto_D sagt:

    Login-Versuche via Port 443 ?
    Also betreue einige Fritz!Boxen per MyFritz und habe solche Login-Versuche noch nicht festgestellt.
    Wer Login-Versuche auf Port 443 feststellt, sollte sich mal in den Spiegel schauen, wer da wohl eine Fehlerquelle ist!
    AVM hat schon vor mindestens 3 Jahren (!!) sein Fritz!OS dahingehend geändert, das bei der Registrierung bei MyFritz.net ein zufälliger Port zwischen ca. 40000 und 65535 benutzt wird.
    Wer also seine Fritz!Box per 443 von außen erreichbar macht ist selbst schuld und hat diese Änderung schlicht verpennt, sorry, wenn ich das so deutlich sage.

    Also:
    Fritz!box bei myfritz deregistrieren, -Remote-User und Passwort überprüfen und ggf. verstärken und danach wieder bei myFritz! registrieren.
    Anhand der URL ….myfritz.net:45328 (45328 als Beispiel ist ein zufälliger Port)
    sieht man ja, dass hier ein zufälliger Port genutzt wird.
    Portscans oberhalb 20000 sind selten und dürften noch seltener erfolgreich sein.

    Sorry, aber den Spruch muss ich noch loslassen:
    In 95% der Fälle sitzt der Fehler vor dem Rechner …

    • Paul sagt:

      Und wie komme ich auf Port 45328 durch die Firmen-/Hotel-/Bekannten-firewall, die „default“ nur Verbindungen zu 443 zulässt?
      In den ich einen Tunnel per DNS aufbauen?

      Server auf Ports über 20000 sind gewollt selten.
      Früher(tm) waren Server auf solchen hohen Ports ein Grund mal einen rootkit-scan zu machen.

      Das AVM diesen Service nicht auf 443 legt hat wohl auch weniger mit „Sicherheit“ zutun, sondern mit dem Problem, das der Kunde evtl. selbst einen Server auf 443 ins Netz stellen will.

      Ja, klar wühlen die sich nicht durch alle Ports.
      Warum auch, wenn es genug Offenes auf 443 gibt?
      Es sind einfache Script-kiddie-Scripte die einfach die Router der Dümmsten (und Hilfloseten) suchen, solchen die hier eh nicht lesen, die Box gerade ebend anschließen können, und schon daran scheitern, das die eine Buchse gelb ist, aber keines der gelieferten Kabel auch diese Farbe hat…

      Frage:
      Woher weiß man eigentlich, da dieser angebliche „Angriff“ (Click-Bait) nur auf AVM-Kisten zielt?
      Vielleicht ist AVM der einzige, sehr verbreitete, Router der so schlecht konfiguriert ist, das er fehlgeschlagene Logins loggt?

    • Dat Bundesferkel sagt:

      Was genau möchtest Du nun mit dem andernorts ansässigen Dienst MyFritz? Um den geht es bei dem Angriff überhaupt nicht. Es geht um die *direkte* Erreichbarkeit der FRITZ!Box, nicht um den albernen DNS-Dienst von AVM, der nur bei Sonnenschein verläßlich funktioniert.
      MyFritz… vor Lachen nicht… da gehe ich zum Lachen lieber in den Keller. Auch noch mein gekauftes Produkt dort registrieren, mitsamt aller persönlichen Daten und dem Generalschlüssel in mein geheiligtes Netzwerk.

      Also wie gesagt: MyFritz hat damit nichts zu tun. Es ist das FRITZ!Box eigene Webinterface, welches standardmäßig tatsächlich den Port 443 verpasst bekommt (somit erreicht man die Box halt ohne zusätzliche Port-Angabe via https, manche finden das bequemer).

      • Otto_D sagt:

        Was meinst du mit andernorts? Meines Wissen steht die AVM-Servertechnik dafür in D. Außerdem benutze ich und einige andere myfritz.net schon viele Jahre und es funktioniert einfach! Punkt! Natürlich kann es mal Störungen geben, aber so es im Internet. Nothing & Nobody is perfect!

        Außerdem speichert myfritz keine deiner „heiligen“ Netzwerkschlüssel!
        https://avm.de/service/myfritz/faqs/was-ist-myfritz-und-wie-nutze-ich-es/
        Zitat:
        „Weder das FRITZ!Box-Benutzerkonto noch dessen Zugangsdaten sind dem MyFRITZ!-Dienst oder AVM bekannt, sondern ausschließlich in Ihrer FRITZ!Box gespeichert.“
        (Somit auch keine Konfigdaten, keine WLAN-Passwörter etc.)
        Außerdem: AVM für für den SOHO-Bereich ausgelegt.
        Und genau das funktioniert prima. ich nutze es seit über 7 Jahren und keinerlei Probleme.
        Wenn du schon mit „professionellen“ IT-Infrastrukturen umgehst: Mir persönlich wäre bei den Cloudlösungen von z.B. Zyxel Nebula oder Ubiquiti Unifi deutlich unwohler, da der Hersteller wirklich IN DEINEM Netzwerk sitzt (Switchmanagement, WLAN-APP-Management) und somit deine komplette Netzwerkinsfrastruktur incl. Endgeräten und MAC-Adressen kennt und deinen Datenverkehr mitlesen bzw. um den NSA-Chargon zu nutzen, deine „Daten ausleiten“ könnte. Sehr viel vertrauenswürdiger … :-(

        Das ist bei der AVM-Myfritz-Lösung nicht so. DynDNS und gut. Punkt.

  8. Otto_D sagt:

    „Und wie komme ich auf Port 45328 durch die Firmen-/Hotel-/Bekannten-firewall, die „default“ nur Verbindungen zu 443 zulässt? In den ich einen Tunnel per DNS aufbauen?“
    Dafür ist dieser SOHO-Router nicht ausgelegt und diese Konstellation auch nicht so gewollt.
    Wenn du eine separate Firmen-/Hotel-/Bekannten-firewall vor die Fritz!Box setzt, dann ist das DEIN Problem und nicht das von AVM.
    (Wie wäre es mit einem Zertifikat und einem Portforwarding z.B. 58234 auf 443 der Fritz!Box?)
    Die Scans auf Port 443 sind nur Probing auf ihrendein HTTPS-UI und haben nichts mit AVM zu tun.
    „Tunnel und DNS“ wäre nicht der richtige Weg. Tunnel per VPN schon eher.

    • Paul sagt:

      Annahme:
      Ich habe zu hause z.B. eine Fritzbox.
      Ich bin als Gast im Hotel/Kunden-(W)LAN AKA: „Gerade nicht zuhause“
      Nun stelle ich fest, das meine Heizung nicht funktiojniert, aber Frauchen friert, also absoluter Notfall, Prio NMI!
      Dank Fritz’sHomeServices kein Problem mal zu gucken
      htttps://MyFritz:45328 /

      Dann kommt von der Kunden-Firewall (die ich nicht „vor meine Fritzbox“ gestellt habe, sondern der Kunde z.B. in der Hoffnung P2P/Torrent zu verhindern):
      „Access denied. Ask your local Amistrartor“
      wenn denn überhaupt etwas anderes, als ein Warteicon kommt.
      (Man ist ja schlau und macht keinen „reject“ sondern „dropt“ die Anfrage.
      So werden die Bösen maximal gebremst…das merken die niiie)

      Wird das Problem klar das das Umstellen des Portes zwar durchaus gegen Logeinträge wirkt, aber ebend auch einen selbst ausperren kann, und man ebend nichts ändern kann, außer hunderte von Dollar Roaming zahlen um per 5G auf die Fritz zu kommen, an der Kunden(Hotel-)-Firewall vorbei.

      Ich erinner da eine dezidierte Firewall-App, die es sehr schlau fanden, den SSH-Zugang auf port 445 zu legen…
      Das war anfangs OK, aber wurde eine rel. dumme Idee, denn 445 ist der MS-SMB-port, der, als LAN-Protokoll, nichts im Internet zusuchen hat, über den viele Angriffsversuche liefen (Code Red? IIRC) und daher von manchen Providern(!) geblockt wird/wurde…schlecht wenn man mal von aussen an seine Firewall muß und vor einem so ein Provider beim Kunden sitzt…

    • Paul sagt:

      „Tunnel und DNS“ wäre nicht der richtige Weg. Tunnel per VPN schon eher.

      Ich lerne es nie:
      „immer vorsichtig mit Ironie (und Übertreibung) im Netz“

      Natürlich kann/sollte man diesen ganzen Mist umgehen, wenn man über sein VPN auf den Wartungs-Port geht. 443 muß dann trotzdem offen sein, und die fremde Firewall darf nicht merken, das da VPN läuft und nicht HTTPS….der würde aber auch merken, wenn man sich durch DNS raustunnelt (in dem man natürlich keinen Klartext. schicken würde, logo)

  9. Otto_D sagt:

    Danke, das macht die Konstellation etwas deutlicher, hat aber mit der eigentlichen Problematik (Https auf Port 443) nicht viel zu tun.
    Es ist dein Problem, wie du von A (du bis im Kunden-(W)LAN) nach B (dein Myfritz.net) kommst. Mobilfunknetz – VPN – gut ist – in 2-3min machbar.
    Und wenn du außerhalb der EU bist und/oder einen veralteten Tarif/Endgerät hast, wäre ein vertrauenswürdige(r) Netter Nachbar(in) vermutlich die bessere Variante, als mit der Brechstange irgend eine wacklige IT-Lösung zu finden.
    Ich habe auch schon in Zypern am Strand gelegen und einem Bekannten von mir per Mobilfunk & Smartphone-VPN die Fritz!Box nachkonfiguriert. Und? No Prop.
    Meine Frau kann sich selbst behelfen, mit sowas wie oben von dir beschrieben würde die sich kaputt lachen …, Sorry.
    NMI wegen der Heizung …. der Brüller echt. ;-)

    • Paul sagt:

      Mobilfunknetz…guute Idee. Ich werde dann mal 2-3min mit der Stahlblech-Halle disktutieren oder das isolierverglaste Fenster aufmachen (Welches Fenster?) und hoffen der Hotspot kommt die 80m durch die Halle bis zu dem Punkt an dem ich mich aufhalten darf…
      Einen Weg gibt es immer, und wenn der Download dank IP-Roaming 300 Euro kostet, Hauptsache es erscheinen keine Logfile einträge mehr…

      Anyway:
      Ich glaube es wird klar das das Verschieben von 443 nur wegen ein paar Logfile einträgen absolut keine Lösung ist.

      BTW:
      Gut gemeinter Rat: Lasse Deinen Ironiedetektor mal checken.
      Das mit dem NMI etc. ist natürlich ein nicht ernst gemeintes Beispiel,
      das soll zum Lachen sein.
      Denn jeder hat eine Frau zuhause die die Heizung aus dem FF reparieren kann weil man sie perfekt dokumentiert hat. (Die Heizung, nicht die Frau)

Schreibe einen Kommentar zu Niko Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.